Ransomware Auswirkungen auf große globale Unternehmen | Sans Spotlight Report

In den letzten Jahren hat sich ransomware zu einer der größten und häufigsten Bedrohungen entwickelt, denen Unternehmen heute ausgesetzt sind. Im Allgemeinen möchte kein Sicherheitsteam eine Datenschutzverletzung überleben. Bei ransomware handelt es sich jedoch nicht nur um eine Datenpanne. Die Opfer von ransomware werden oft öffentlich von Gegnern beschämt, die exorbitante Summen für die Freigabe ihrer gesperrten Daten verlangen. Palo Alto's Unit 42 berichtete, dass in der ersten Hälfte des Jahres 2021 die durchschnittliche ransomware Zahlung auf 570.000 Dollar gestiegen ist. Bis zum Ende desselben Jahres hatte ein Versicherer 40 Mio. $ an ransomware gezahlt, wie aus einem Mimecast-Bericht über ransomware hervorgeht.

Ransomware hat sich auch auf einen erheblichen Teil der Unternehmenssicherheit ausgewirkt. Sie hat die Art und Weise verändert, wie wir Reaktionspläne für Zwischenfälle erstellen, Cyber-Versicherungen bewerten und Unternehmensprozesse entwickeln, die sowohl auf Kontinuität als auch auf Widerstandsfähigkeit beruhen. Diese Auswirkungen haben die Unternehmen möglicherweise dazu gezwungen, ihre Bedrohungslandschaft anders zu betrachten und andere Entscheidungen zu treffen als ursprünglich geplant. Darüber hinaus hat sie sowohl dem Begriff "Katastrophe" als auch den Anforderungen an Wiederherstellungsmaßnahmen eine neue Bedeutung verliehen. Wir können die Auswirkungen von ransomware auf einige der größten Organisationen der Welt nicht ignorieren, insbesondere in Verbindung mit den Veränderungen, die sich aus der jüngsten COVID-19-Pandemie ergeben haben.

In diesem Beitrag untersuchen wir, wie sich ransomware auf den Sicherheitsstatus der weltweit größten 2.000 Unternehmen (G2K) ausgewirkt hat. Ransomware selbst ist zu einem "großen Geschäft" geworden und hat als solches nachhaltige Auswirkungen auf den normalen Geschäftsbetrieb, wie z. B. Fusionen und Übernahmen sowie das Wachstum der Branche. Ransomware hat auch weitreichende Auswirkungen auf die nationale und internationale Cybersicherheitspolitik gehabt.

Auch wenn wir uns oft auf die Bedrohungsakteure - und nicht auf die Ziele der Bedrohung - konzentrieren, ist ransomware als Angriffsprofil zu weit verbreitet und zu wirkungsvoll, als dass Unternehmen es ignorieren könnten. Wie wir in diesem Dokument untersuchen, ist ransomware eine gewaltige Bedrohung, die die Arbeitsweise vieler Unternehmen verändert hat.

In diesen Tagen beobachten wir, dass die Bedrohungsakteure von ransomware ihre Taktiken, Techniken und Zugangswege erweitern und Schwachstellen und Zero-Day-Exploits schnell ausnutzen, um sich Zugang zu verschaffen und erste ransomware Nutzdaten zu liefern. Unternehmen, die sich dieser Bedrohungen nicht bewusst sind oder sich der ransomware Trends nicht bewusst sind, werden unvorbereitet getroffen und schnell ausgenutzt. Obwohl der Schwerpunkt unseres Papiers auf dem G2K liegt, ermutigen wir Organisationen jeder Größe dazu:

• Implementieren Sie leistungsstarke Überwachungs- und Erkennungsfunktionen auf ransomware , z. B. für Sicherheitslücken und Fernzugriffslösungen.
• Implementieren Sie Erkennungs- und Reaktionsfunktionen für alle Endgeräte und Netzwerke, sowohl vor Ort als auch im Internet cloud.
• Erwägen Sie Defense-in-Depth-Strategien, um die einfache Wiederverwendung von Anmeldeinformationen und die seitliche Bewegung innerhalb Ihrer Umgebung einzuschränken.
• Begrenzen Sie die Netzwerkkonnektivität zu Backup- und/oder Disaster-Recovery-Systemen, die häufig das Ziel von ransomware Angreifern sind.
• Stellen Sie sicher, dass Ihr Plan zur Reaktion auf Vorfälle auch den Umgang mit öffentlichen Anschuldigungen umfasst.

Abschließend ist anzumerken, dass sich dieses Dokument zwar auf die Bedrohung durch ransomware konzentriert, viele der darin beschriebenen Empfehlungen und Abhilfemaßnahmen jedoch auch für die Bekämpfung einer Vielzahl von Zielen von Bedrohungsakteuren nützlich sind. Die Implementierung von strengen Anforderungen für den Fernzugriff oder die Einschränkung der Leichtigkeit der seitlichen Bewegung kann eine Vielzahl von Angreifern auf der Stelle stoppen. Sehr zum Vorteil eines Sicherheitsteams, das das meiste aus seinem Geld herausholen möchte, recyceln ransomware Angreifer oft Techniken und Taktiken, was den Sicherheitsanalysten die Möglichkeit gibt, Angriffe zu erkennen, bevor sie zu einem Einbruch werden.

Ransomware Auswirkungen auf ^G2K1

Wie wir bereits erwähnt haben, sind die Auswirkungen von ransomware für Unternehmen aller Größenordnungen spürbar. In Anbetracht ihrer Größe und Reichweite waren G2K-Organisationen jedoch von einigen der bekanntesten ransomware Angriffen betroffen. Darüber hinaus stehen G2Ks aufgrund ihrer hohen Einnahmen und öffentlichen Profile ganz oben auf der Zielliste der Angreifer. Sie versprechen ein größeres ransomware Kopfgeld, als es sich kleinere Organisationen leisten können.

Interessanterweise könnte man auch argumentieren, dass G2K-Organisationen gut verteidigte Ziele sind. Wir würden davon ausgehen, dass ab einem bestimmten Umsatzniveau Sicherheitsabteilungen finanziert werden (möglicherweise sogar gut finanziert) und die Informationssicherheit ein integraler Bestandteil des Geschäftsbetriebs ist. Leider ist dies, wie wir immer wieder feststellen müssen, nicht immer der Fall. Das soll nicht heißen, dass die Sicherheitsteams in großen Unternehmen keine gute Arbeit leisten. Wir können jedoch aus ihren Erfahrungen lernen. Lassen Sie uns öffentliche Fallstudien untersuchen und daraus lernen, wie wir Sicherheit am besten implementieren und bessere Verteidigungspraktiken gewährleisten können.

Auswirkungen auf das Kundenvertrauen: Accenture (G2K #169)

Unsere erste Fallstudie befasst sich mit den Auswirkungen von ransomwareauf das Vertrauen der Kunden in ein Unternehmen. Die Vertraulichkeit der Kunden ist für ein Unternehmen wie Accenture von größter Bedeutung und wird oft als ein wesentliches Unterscheidungsmerkmal von Beratungsunternehmen angesehen. Im August 2021 wurde Accenture Opfer eines ransomware -Angriffs, der zum Diebstahl geschützter Daten aus den IT-Systemen führte und eine doppelte Bedrohung darstellte.

Wenn ein Angreifer in die Sicherheit eindringt, Daten verschlüsselt und Lösegeld fordert, gerät das Unternehmen bereits in Panik, um die Ursache des Angriffs zu ermitteln und zu entscheiden, welche Maßnahmen zu ergreifen sind. Wenn eine Organisation jedoch die Daten anderer hütet, muss sie auch schnell feststellen, welche Daten betroffen sind oder aus der Umgebung gestohlen wurden. Darüber hinaus muss ein Unternehmen, das Opfer eines solchen Angriffs geworden ist, wichtige Fragen beantworten, z. B.: "Kann der Angreifer diese Daten nutzen, um dem Unternehmen oder seinen Kunden zu schaden?" Sie muss auch klären, ob ein Angreifer die gestohlenen Daten nutzen kann, um andere Unternehmen gezielt und erfolgreich anzugreifen oder nicht.

In ransomware Fällen, in denen es sich bei den gestohlenen Daten um personenbezogene Daten oder geschützte Daten handelt, muss sich das Unternehmen im Allgemeinen darauf konzentrieren, das Eindringen in das System unverzüglich zu beenden. Ohne ein Sicherheitsprogramm, das einen ransomware "Vorbehalt" enthält, kann ein Plan zur Reaktion auf einen Vorfall zu langsam oder nicht engagiert genug sein, um einen solchen Angriff abzuwehren, bevor er sich nachteilig auswirkt, oder um die Organisation nach dem Eindringen wieder in den Normalzustand zu versetzen. Darüber hinaus ist ein frühzeitiges, detailliertes Verständnis dessen, was passiert ist und welche Daten möglicherweise gestohlen wurden, entscheidend für das Verhandlungsergebnis. Die Entscheidung von Accenture wäre möglicherweise anders ausgefallen, wenn Unmengen von Kundendaten entwendet worden wären.

Das Ergebnis: Die Angreifer behaupteten, es seien 6 TB an Daten gestohlen worden, und forderten 50 Millionen Dollar ransomware . Accenture stellte jedoch die betroffenen Systeme anhand eines Backups wieder her und bestätigte, dass keine Kundendaten entwendet worden waren.

Es gibt keine Garantie dafür, dass Kunden aufgrund eines Verstoßes gegen ransomware abwandern oder bleiben werden. Der Schutz der Kundendaten und des geistigen Eigentums des Unternehmens sollte jedoch eines der obersten Ziele des Unternehmens sein. Ransomware kann die Kraft sein, die neue Sicherheitsrichtlinien und die Implementierung stärkerer, fortschrittlicherer Prozesse und Kontrollen vorantreibt, die das Sicherheitsteam in vollem Umfang annehmen und einsetzen sollte.

Auswirkungen auf Global Supply Chain: JBS USA (G2K #525)

Unsere zweite Fallstudie befasst sich mit den Auswirkungen von ransomware auf die Abläufe in der Lieferkette und damit, wie verheerend sich ein Cyberangriff auf die physische Welt auswirken kann. Im Mai 2021 gab JBS USA, einer der größten Fleischlieferanten in den Vereinigten Staaten, bekannt, dass ein Angriff auf ransomware den Produktionsbetrieb in fünf Anlagen, die täglich insgesamt 22.500 Rinder verarbeiteten, zum Erliegen gebracht hatte. Die Unterbrechung des Betriebs erstreckte sich auch auf Anlagen in Australien, was zeigt, wie vernetzt die Systeme von JBS waren.

JBS ist ein perfektes Beispiel dafür, wie sich ein Angriff auf ransomware auf eine globale Lieferkette auswirken kann. Der Stillstand der Fleischproduktion betraf eine lange Liste von JBS-Kunden, darunter Restaurants, Lebensmittelläden und Lieferanten, wie z. B. Rinderzüchter. Diese Unterbrechung könnte sowohl JBS-Kunden als auch -Lieferanten dazu veranlassen, sich anderweitig um Aufträge zu bemühen, und den Angreifern ein Druckmittel in die Hand geben, um die Kosten für die Verletzung von ransomware in die Höhe zu treiben. Darüber hinaus könnte es je nach Ausmaß des Schadens an den Produktionssystemen Tage oder Wochen dauern, bis die normale Betriebsgeschwindigkeit wieder erreicht ist.

Das Ergebnis: JBS gab den Lösegeldforderungen nach und zahlte 11 Millionen US-Dollar an die Bedrohungsakteure. Zwar wurden nach eigenen Angaben keine Unternehmens-, Kunden- oder Mitarbeiterdaten kompromittiert, doch war die Zahlung von 11 Mio. USD wahrscheinlich eine geschäftliche Entscheidung, die besser war als ein Produktionsausfall für einen oder mehrere zusätzliche Tage.

Auswirkungen auf Datenintegrität und Erpressung: Brenntag (G2K #1088)

In unserer dritten Fallstudie schließlich werden die Auswirkungen auf die Datenintegrität infolge eines Einbruchs in ransomware bei Brenntag, einem in Deutschland ansässigen Chemievertriebsunternehmen, untersucht. Im Mai 2021 wurde berichtet, dass die Gruppe DarkSide ransomware die nordamerikanische Abteilung von Brenntag mit gestohlenen Zugangsdaten kompromittiert hat. Auf dem Höhepunkt des Angriffs starteten die Angreifer die erwartete Verschlüsselungs-Nutzlast und stahlen fast 150 GB an Dateien aus der Umgebung.

Nach Angaben der Gruppe ransomware zum Zeitpunkt der Veröffentlichung umfassten die gestohlenen Daten (die unverschlüsselt in den Händen des Gegners waren) Verträge, NDAs, chemische Formeln und wichtige Finanz- und Buchhaltungsunterlagen. Wir wissen zwar nicht, ob die Gegner wussten, welche Daten sie besaßen, aber sie wussten um den Wert dieser Daten und die Wahrscheinlichkeit, dass Brenntag sie geheim halten wollte.

Unter Verwendung der gestohlenen Daten als Druckmittel wurde die ursprüngliche Forderung von ransomware in Höhe von 7,5 Mio. $ gestellt. Den G2K-Listen zufolge ist Brenntag ein Unternehmen mit einem Wert von 14,2 Mrd. USD, so dass 7,5 Mio. USD wie ein "Tropfen auf den heißen Stein" erscheinen. Dies ist ein Standpunkt, den ransomware Bedrohungsakteure oft einnehmen: Es handelt sich um eine so kleine Teilmenge Ihres Wertes, dass die Sicherheit Ihrer Daten diesen kleinen Betrag wert sein muss. Diese Strategie macht sich in ihrer Verhandlungstaktik bemerkbar.

Das Ergebnis: Brenntag zahlte schließlich am 11. Mai 2021 4,4 Millionen Dollar der ursprünglichen 7,5 Millionen Dollar an die Bedrohungsakteure. Der ransomware Verhandlungsprozess findet zwar oft hinter verschlossenen Türen statt, ist aber ein weiterer Prozess, in den die Angreifer Zeit und Fähigkeiten investieren, um den maximalen Betrag aus einer Opferorganisation herauszuholen.

Ransomware Auswirkungen auf die Sicherheit

In nur drei kurzen Fallstudien konnten wir aufzeigen, wie ein Angriff auf ransomware schnell das Vertrauen der Kunden, globale Lieferketten oder die Datenintegrität beeinträchtigen kann. Die drei von uns untersuchten Angriffe sind nur die Spitze des Eisbergs. Ransomware hat sich zu einer Multi-Milliarden-Dollar-Branche entwickelt, die nach einigen Schätzungen im Jahr 2021 ein Volumen von mehr als 10 Mrd. US-Dollar erreichen wird. Man könnte jedoch argumentieren, dass ransomware gleichzeitig sowohl die Bedrohungs- als auch die Sicherheitslandschaft der Unternehmen verändert hat.

Auswirkungen auf die Erkennung von und Reaktion auf Vorfälle

Der Bereich, auf den ransomware den größten Einfluss hat, ist wohl die Art und Weise, wie Unternehmen Vorfälle erkennen und darauf reagieren. Wenn wir uns an die Datenschutzverletzungen der frühen 2010er Jahre zurückerinnern, hatten wir eine Welt, die sich hauptsächlich mit finanziell motivierten Verletzungen, geistigem Eigentum/Staatsspionage und Hacktivismus beschäftigte. Ransomware wurde als eine "lästige" Bedrohung angesehen, die nur ein paar hundert Dollar kostete und oft leicht durch Datenwiederherstellungstechniken zu bewältigen war.

In den Jahren 2021-2022 haben die Angreifer von ransomware ihre Fähigkeiten verfeinert. Bei einem Angriff auf ransomware werden nun Mechanismen zur Datenwiederherstellung erkannt und gezielt eingesetzt. Es gibt mehrere Berichte darüber, dass Angreifer in der Lage sind, innerhalb eines einstelligen Stundenbereichs von Null auf Domain-Administrator und vollständige Verschlüsselung umzuschalten, was bedeutet, dass Sicherheitsteams noch weniger Zeit haben, um mit einer Bedrohung Schritt zu halten und sie zu neutralisieren.

Die Angreifer, die hinter ransomware stehen, haben ihre Fähigkeiten noch weiter verbessert, indem sie sich auf die Phasen nach der Verschlüsselung eines Angriffs konzentrieren. Die Verhandlungen werden von einer separaten Partei geführt, die das Opfer kennt, über die Finanzen sprechen kann und bereit ist, eine niedrigere Summe als den ursprünglichen Lösegeldbetrag zu akzeptieren. Gleichzeitig ist es nicht ungewöhnlich, dass die Akteure von ransomware ihre Opfer erpressen und ihnen mit Datenverlusten und anderen peinlichen Situationen drohen.

Diese Parameter haben die Erkennung von und Reaktion auf Vorfälle in einigen wichtigen Punkten verändert:

• Sicherheitsteams müssen in der Lage sein, Bedrohungen schneller zu erkennen. Die Verweildauer von Angreifern, die in Tagen gemessen wird, kann dazu führen, dass Sicherheitskontrollen zu langsam arbeiten und ransomware Bedrohungsakteuren zu viel Zeit zum Handeln geben.
• Es geht nicht mehr darum, die Nutzlast von ransomware aufzuspüren - das kommt zu spät. Heute muss der Schwerpunkt auf den Aktivitäten und Techniken liegen, die dem Einsatz von ransomware vorausgehen.
• Mehr denn je sollten sich Sicherheitsteams auf starke Erkennungs- und Reaktionstechnologien verlassen (sowohl Netzwerk- als auch endpoint bzw. NDR und EDR sind hier zu nennen), um fortschrittliche Erkennungs- und Behandlungsmöglichkeiten zu bieten. Die Abdeckung von Angriffen, die privilegierte Konten ausnutzen, ist eine wichtige Überlegung, da diese für moderne Angriffe von zentraler Bedeutung sind.
• Reaktionspläne für Zwischenfälle müssen schnelle Optionen enthalten, die Bedrohungen sofort neutralisieren. Die Zeiten, in denen man ein Änderungsticket einreichen musste, um einen Firewall-Port zu blockieren, sind vorbei, vor allem für Angreifer, die sich mit Lichtgeschwindigkeit durch ein flaches Netzwerk bewegen.
• Reaktionspläne für Zwischenfälle müssen auch andere "nicht traditionelle" Abteilungen einbeziehen. Nicht jeder Vorfall in einem Unternehmen erfordert einen Anruf bei der Rechts- oder PR-Abteilung. Ein Verstoß gegen ransomware kann jedoch öffentlich bekannt werden, bevor das Sicherheitsteam ihn überhaupt in den Griff bekommen hat. Dies sollte dazu führen, dass zusätzliche Parteien, die im Umgang mit nach außen gerichteten Problemen erfahren sind, einbezogen werden.

Im Hinblick auf die Erkennung von und Reaktion auf Vorfälle ergeben sich für Sicherheitsteams auch einzigartige Möglichkeiten. Die Besorgnis von Vorstand und Geschäftsführung über einen Angriff auf ransomware kann den nötigen Anstoß geben, ein bestimmtes Tool oder Projekt zu finanzieren, gefährdete Anlagen an einen sichereren "Ort" zu verlagern oder endlich Richtlinien und Prozesse einzuführen, die das Sicherheitsteam schon seit einiger Zeit anstrebt.

Interessanterweise sind ransomware Angriffe einige der einzigen Arten von Angriffen, die sich auf das Ergebnis des Angriffs konzentrieren und nicht unbedingt auf die Bedrohungsakteure und/oder die damit verbundenen Ziele. Dies ist zwar ein einzigartiger Blickwinkel, entbindet aber nicht von der Notwendigkeit einer grundlegenden Sicherheitshygiene, die dazu beitragen kann, alle Arten von Angriffen zu stoppen - nicht nur ransomware.

Auswirkungen auf Fernzugriffslösungen, Kennwörter und Berechtigungen

Fernzugriffslösungen sind seit Jahrzehnten Teil des normalen Geschäftsbetriebs; es ist nichts Neues, dass sich Administratoren für normale IT-Upgrades, Wartungsarbeiten usw. in Systeme einloggen. Leider sind sie auch zu einem der bevorzugten Einfallstore für ransomware Angreifer geworden, die wissen, dass Fernzugriffssysteme oder "Jump Boxes" oft mit geringen Sicherheitsvorkehrungen, aber hohen Berechtigungen konfiguriert sind.

Daher mussten die Geschäftsprozesse entweder geändert oder völlig neu gestaltet werden, um den Administratoren den Fernzugriff zu ermöglichen. Auch wenn dies wie einfache Sicherheitshygiene erscheinen mag, war ransomware eines der wichtigsten Mittel, um eine mehrstufige Authentifizierung, eine obligatorische VPN-Nutzung oder die vollständige Abschaffung von Fernzugriffslösungen durchzusetzen.

Ransomware hat sich auch darauf ausgewirkt, wie Unternehmen mit den Passwörtern und Berechtigungen ihrer Benutzer umgehen. Viel zu oft sehen wir Datenschutzverletzungen, die ein Konto mit viel zu vielen Berechtigungen, wenig Sicherheit am Rande und leicht zu erratenden Anmeldeinformationen betreffen. Selbst innerhalb der G2K-Population ist dies ein bereits bestehendes Problem, das von Angreifern leicht ausgenutzt werden kann. Darüber hinaus können die forensische Analyse und die Reaktion auf einen Vorfall schwierig sein, wenn sich ein Angreifer in den normalen Datenverkehr "einmischt".

Ransomware kann jedoch der Katalysator sein, um dringend benötigte organisatorische Änderungen durchzusetzen. Der Einsatz der Multifaktor-Authentifizierung ist eine gute Praxis, die Sicherheitsexperten seit Jahren empfehlen: Sie kann ransomware und andere Arten von Angriffen von Gegnern abhalten, die nicht die Zeit für eine solche "robuste" Sicherheitshürde haben.

Wir wären nachlässig, wenn wir nicht darauf hinweisen würden, dass etwas so Einfaches wie die Multifaktor-Authentifizierung die Erfolgsquote von Angreifern um einen zweistelligen Prozentsatz senken kann. Eine beträchtliche Anzahl von Angriffen stützt sich auf schwache, einfaktorielle Anmeldeinformationen für den Fernzugriff. Die Einführung einer Hürde kann die Automatisierung der Angreifer unterbrechen, den Verkauf von Anmeldedaten verhindern und einen ansonsten einfachen Angriff abwehren.

Auswirkungen auf Schwachstellen und Softwareentwicklungszyklen (SDLCs)

Ransomware hat sich auch positiv auf das Schwachstellenmanagement und die Lebenszyklen der Softwareentwicklung ausgewirkt. Dies ist auf die jüngste (in den letzten 24 Monaten) Verlagerung der Angriffe auf ransomware zurückzuführen, die ihren Ursprung eher in Schwachstellen und Exploits als im traditionellen Fernzugriff oder Spearphishing haben. Die rasche Bewaffnung und Ausnutzung weit verbreiteter Schwachstellen hat Angreifern einen neuen Vektor für die Bereitstellung von ransomware eröffnet, ein weiterer Trend, dem sich Sicherheitsteams bewusst sein müssen. Je nachdem, wie die Schwachstelle mit der Umgebung verbunden ist, können die Angreifer ihre ransomware mit den entsprechenden Berechtigungen schnell einsetzen.

So wurden beispielsweise zwischen März und April 2021 mehrere Schwachstellen gepatcht, die Microsofts lokalen Exchange Server in den Versionen 2013, 2016 und 2019 betrafen. Fast zur gleichen Zeit, als die Schwachstellen bekannt gegeben wurden, hatten Angreifer bereits eine Waffe entwickelt und nach anfälligen Exchange-Servern im Internet gescannt, von denen es offensichtlich Tausende gab. Zu diesem Zeitpunkt erledigte eine einfache Abstimmung von Skripten und automatisierten Scannern die Drecksarbeit.

Das Ausmaß, in dem Angreifer ihre Operationen automatisieren können, bringt neue Komplexitäten mit sich - daher ist ein angemessenes Programm für die Verwaltung von Schwachstellen und den Softwarelebenszyklus erforderlich. Wenn eine Schwachstelle in einem Produkt oder einer Softwarebibliothek bekannt gegeben wird, haben Sicherheitsteams keine Tage oder Wochen Zeit, um die Schwachstelle zu identifizieren und zu katalogisieren. Diese Aufgabe muss im Voraus erledigt werden. Programme zur Bestandsübersicht können ebenfalls in diese Diskussion einbezogen werden, da sie den Sicherheitsteams Einblick in die Bestände geben und das Beste aus beiden Welten mit einem Katalog der installierten Software kombinieren können.

Abschließende Überlegungen

In diesem Whitepaper haben wir die Auswirkungen von ransomware auf die 2.000 größten Unternehmen der Welt untersucht. ransomware zielt zwar auf Organisationen ab, die weit über diese Liste hinausgehen - Geld ist schließlich Geld -, aber es lohnt sich, einen Blick darauf zu werfen, wie Unternehmen mit Ressourcen mit der Bedrohung ransomware umgehen. Sind die Einnahmen gleichbedeutend mit Investitionen in die Cybersicherheit? Wird dadurch ein größeres Ziel für die Netzwerke eines Unternehmens geschaffen? Ist es beides, oder sogar mehr?

Wir sind der Meinung, dass die Lehren, die wir aus den öffentlich bekannt gewordenen G2K ransomware -Verletzungen gezogen haben, anderen Organisationen helfen können, stärkere Schutzmaßnahmen zu implementieren, auch wenn es sich um einen unauffälligen Angriff handelt. Das Sperren von Protokollen wie dem Fernzugriff und die Implementierung von Programmen zur Gewährleistung der Transparenz und zur Verwaltung von Schwachstellen kann einen Angreifer erheblich abschrecken. Ein gut informiertes Sicherheitsteam ist immer bereit, in die "Schlacht" zu ziehen und sich gegen jede Bedrohung zu wehren -ransomware eingeschlossen.

---

¹ Die in den Unterüberschriften angegebenen G2K-Ranglisten stammen aus der Forbes-Liste 2021 Global 2000